Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
Локальный агент пользователя Messenger 400 предназначен для работы под управлением операционной системы UNIX.
Messenger 400 предоставляет заранее настроенные почтовые приложения, которые:
• уведомляют пользователя о приходе электронной почты;
• автоматически отправляют электронную почту в другой почтовый ящик;
• автоматически посылают пользователю ответ или принимают и сохраняют поступающую электронную почту;
• рассылают сообщения по спискам рассылки;
• дают возможность пользователям и системным интеграторам быстро создавать почтовые приложения.
Обеспечение информационной безопасности в Х.400
Существуют два аспекта защиты при передаче и обработке ПС Х.400: а) управление и администрирование системы защиты; б) защита обмена ПС. Обеспечение защиты в архитектуре Х.400 включает в себя защиту ПС, непосредственно предоставленных MTS UA, MS и AU. В общем случае многие элементы службы защиты ПС обеспечивают возможность защиты в направлении отправитель-получателю и требуют использования UA.
358 Компьютерная безопасность и практическое применение криптографии
При этом они не требуют использования MTS, обладающей возможностями защиты (например, секретность содержимого может обеспечиваться путем шифрования содержимого ПС отправителем и его расшифрования получателем с различными параметрами защиты, передаваемыми внутри конверта ПС). Такое сообщение может передаваться MTS, которая будет обрабатывать формат содержимого (неформатированные октеты) и поля защиты в конверте. Некоторые из элементов службы защиты ПС взаимодействуют с MTS и требуют применения MTA с возможностями защиты.
Защиту почтовой системы Х.400 целесообразнее осуществлять, используя разработанную в МО ПНИЭИ почтовую систему. Преимущество подобного подхода заключается в использовании защищенной электронной почты, соответствующей стандарту Х.400, основным достоинством которого является защита почтового сервера от несанкционированного доступа. Для предоставления абонентам услуг защищенной электронной почты в МО ПНИЭИ разработан электронный почтамт на базе программного продукта Messenger 400. У каждого пользователя электронной почты устанавливается ПО абонентского пункта (АП) защищенной электронной почты Х.400, в котором криптографическая защита информации и процедура аутентификации выполнены на встроенном в АП ПО «Верба-О». Особенностью данного метода является обязательное наличие криптосервера и АП центра управления ключевой системой (ЦУКС), присоединяемых к электронному почтамту. Но для конкретной реализации данного метода требуется дополнительная проработка вопросов, связанных с согласованием перехода И С ТКП на защищенную почту Х.400. В данной книге рассмотрены типовые решения по построению защиты почтовых систем на базе Х.400.
Архитектура построения защищенной почтовой системы с использованием разработки МО ПНИЭИ представлена на рис. 3.29.
Основными компонентами защищенной почтовой системы являются:
• защищенный абонентский пункт или защищенный АП. На нем как раз и реализуются все функции криптографической защиты информации, серверная часть использует только аутентификацию пользователей почтовой системы. Таким образом, защита реализована на уровне пользователей, то есть почтовые сообщения (ПС) на серверную часть приходят уже зашифрованными и подписанными, почтовый сервер обеспечивает лишь транспортные функции по доставке ПС;
• криптосервер, на который вынесены с UNIX-платформы электронного почтамта средства криптографической защиты информации, используемые для аутентификации;
• центр управления безопасностью (ЦУБ) - это выделенный АП, который позволяет рассылать административные письма-команды и на
Защита электронной почты
359
АП в режиме автообмена
Почтовый сервер М400
Криптосервер
Изолированный АП, использующий СКЗИ
ЦУБ. Управление ключевой системой удаленных АП
Изолированный АП, использующий СКЗИ
Почтовый сервер М400
Криптосервер.
Используется
для аутентификации
Файл-сервер ЛВС
Рабочие станции
Организация, участвующая в документообороте
Рис. 3.29. Защищенная почтовая система
который возложены функции по управлению ключами пользователей. Оператор ЦУБ является администратором безопасности. Для пользователя ЦУБ эквивалентен защищенному АП;
360 Компьютерная безопасность и практическое применение криптографии
Криптосервер
• шлюз ELINK, используемый АП для связи с системой передачи сообщений Messenger 400. Шлюз ELINK обеспечивает передачу сообщений с абонентского пункта на почтовый сервер Messenger 400 по протоколам LAPS и ELINK и строгую аутентификацию абонентов на основе системы криптографической защиты информации. При подсоединении абонента к почтовому серверу производится аутентификация пользователя с помощью криптосервера. Может производится как односторонняя, так и двусторонняя аутентификация. Шлюз ELINK реализован в составе почтового сервера и представляет с одной стороны интерфейс обращения к криптосерверу, а с другой - к Messenger 400 (рис. 3.30).
Защищенный АП обеспечивает:
